mh.desing - stock.adobe.com

Best Practices für das Sicherheitsmanagement

Transparenz und Risikomessung sind entscheidende Aspekte für eine solide Sicherheit. Aus den Daten müssen jedoch die richtigen Schlüsse gezogen werden, um die Risiken zu mindern.

Wenn wir über Sicherheitsmanagement sprechen, kommt normalerweise auch das Thema Best Practices zur Sprache. Von Kollegen zu lernen, ist ein ganz natürlicher Schritt, und in der Sicherheitsbranche sind alle besonders daran interessiert, sich gegenseitig zu helfen, sich zu verbessern. Doch wie etablieren sich diese Praktiken und was macht sie gut? Wann sind neue Praktiken erforderlich und wann sollten ältere Methoden auslaufen

Mit der Weiterentwicklung der IT-Welt wächst auch die Liste der Praktiken und Techniken, die für die Sicherheit dieser IT-Umgebungen erforderlich sind. So wurde beispielsweise Cloud Computing mit dem ersten Dienst von AWS in den frühen 2000er-Jahren eingeführt. Die Praktiken zur Sicherung von Cloud-Bereitstellungen mussten mit der rasanten Entwicklung der Cloud im Allgemeinen Schritt halten. AWS, Microsoft, Google und andere Anbieter haben jedoch alle ihre eigenen Dienste, Methoden zum Umgang mit Daten und Best Practices für die Sicherheit.

Gleichzeitig hat jeder Karriereweg seine eigene Geschichte, eine Liste bewährter Verfahren und überliefertes Wissen, das möglicherweise nicht mehr zweckmäßig ist. Betrachten wir beispielsweise die Epidemiologie, die sich mit der Untersuchung von Daten zu Gesundheit und Krankheiten befasst. Dies kann eine passende Metapher für die Entwicklung der IT-Sicherheit sein.

Am Anfang

Aderlass war über Jahrtausende hinweg die modernste medizinische Behandlungsmethode, die bis ins alte Ägypten zurückreicht. Ab dem 11. Jahrhundert n. Chr. waren Barbierchirurgen erfolgreiche und angesehene Fachleute. Aderlass wurde schließlich als Praxis – und als Beruf – eingestellt, da ein hoher Zusammenhang zwischen dieser Praxis und dem Tod der Patienten bestand. Anstatt sich auf Anekdoten und überlieferte Weisheiten zu verlassen, zeigten die Daten, dass diese Praxis bestenfalls unwirksam und schlimmstenfalls sogar schädlich war. Sie war buchstäblich schlimmer als gar nichts zu tun.

Die Krankheitstheorie entwickelte sich als eine Möglichkeit, Bedrohungen und Krankheitsursachen zu verstehen. Die Epidemiologie entstand, als die vorherrschende Theorie lautete, dass Miasmen oder Sumpfgasen die Hauptursache für Krankheiten seien. Die Menschen erkannten, dass Krankheiten durch etwas Unsichtbares verursacht wurden, das ohne Kontakt von Mensch zu Mensch übertragen werden konnte.

Doch während einer Choleraepidemie im London des 19. Jahrhunderts ignorierten Wissenschaftler bewusst die überwältigenden Beweise dafür, dass Cholera eine durch Wasser übertragene Krankheit war. Diejenigen, die die Miasma-Theorie unterstützten, dachten an ihre Karriere und ihre persönliche Identität. Schließlich zwangen die Beweise von John Snow – in Verbindung mit der Stilllegung der Broad-Street-Pumpe, die zu niedrigeren Infektionsraten führte – eine Entscheidung herbei. Dieser datengestützte Ansatz führte zu der messungsbasierten Praxis der Epidemiologie, die wir heute kennen.

Evolution und Risikomessung

Für den IT-Sicherheitssektor sollte die Menge der verfügbaren Daten über die Vorgänge in der Cloud die Sicherung dieser Umgebungen erleichtern. Diese Daten müssen jedoch effektiv genutzt werden, wenn sie etwas bewirken sollen. Telemetriedaten allein sind keine Messung. In der Epidemiologie sind die Todesfälle in Ihrer Umgebung Daten, aber das Wissen um die Ursachen ist eine Messung, die zu Untersuchungen und schließlich zu einer Lösung führt. Umgekehrt signalisiert das konsequente Fehlen von Messungen den letztendlichen Niedergang einer Praxis. An diesem evolutionären Scheideweg befinden wir uns in Bezug auf die Sicherheit.

Messung bedeutet, Daten zu nutzen, um das Gesamtbild zu verstehen, und dann Prozesse zu entwickeln, um die entdeckten Probleme zu lösen. Für CISOs haben Entwicklungen wie Cloud und KI die Spielregeln verändert. So ist beispielsweise das Aufkommen generativer KI ein Katalysator für eine Messungsrevolution im Bereich der Sicherheit. Generative KI schreibt Code, der wiederum mehr Code erstellt, Anwendungen entwirft und Workloads und KI-Agenten implementiert. Dieser Ansatz sollte für viele Menschen Hindernisse bei der Wertschöpfung beseitigen. Aber wie viele werden diesen Prozess verstehen und in der Lage sein, die bestehenden Risiken zu erkennen?

KI wird auch potenzielle Risikoszenarien verstärken. Bedrohungsakteure werden KI nutzen, um ihre Angriffe sowohl qualitativ als auch quantitativ zu verbessern. KI-fähige Unternehmen werden ihre Prozesse beschleunigen und mehr Geld verdienen, dabei aber möglicherweise Aspekte wie Risiko oder Sicherheit außer Acht lassen. Das Verständnis dafür, wie Code erstellt und Anwendungen entwickelt werden, wird schrumpfen, was zu Problemen führen wird, wenn etwas nicht mehr funktioniert. Wie können CISOs also von ihrem Ansatz im Umgang mit Risiken überzeugt sein?

Sollten wir die Hände in den Schoß legen und behaupten, dass eine Risikomessung unmöglich ist? Nein – das ist derselbe Ansatz, den die Befürworter der Miasma-Theorie verfolgt haben, als noch nicht genügend Daten verfügbar waren und man keine Theorien testen wollte. Stattdessen müssen wir uns mit der Messung in diesem neuen Umfeld befassen, um das zu liefern, was benötigt wird.

KI kann die Ergebnisse verbessern, indem sie die tatsächlichen Probleme identifiziert. Automatisierung kann Ihnen helfen, das Problem durch Messungen zu definieren, die Risiken zu modellieren und dann Lösungen für diese Probleme zu finden.

Matt Middleton-Leal, Qualys

„Für den IT-Sicherheitssektor sollte die Menge der verfügbaren Daten über die Vorgänge in der Cloud die Sicherung dieser Umgebungen erleichtern. Diese Daten müssen jedoch effektiv genutzt werden, wenn sie etwas bewirken sollen. Telemetriedaten allein sind keine Messung.“

Matt Middleton-Leal, Qualys

Risikomanagement zum Funktionieren bringen

Sobald wir Messungen eingeführt haben, müssen wir diese Informationen so effektiv und produktiv wie möglich nutzen. Hier ist eine Weiterentwicklung des Ansatzes erforderlich, um Risiken zu messen und diese Informationen dann für Veränderungen zu nutzen. Die Einrichtung eines Risk Operations Center (ROC) erleichtert die Zusammenarbeit bei der Behebung, Minderung oder Übertragung von Risiken.

Genauso wie ein Security Operations Center (SOC) alle Daten zu IT-Bedrohungen und -Risiken erfasst, ist es die Aufgabe eines ROC, Messdaten zu Risiken zu sammeln, zu normalisieren und diese Informationen an diejenigen weiterzugeben, die sie benötigen, um Maßnahmen zu ergreifen. Das Ziel besteht darin, diese operativen Prozesse für alle Beteiligten zu vereinfachen. Der Unterschied zwischen einem ROC und einem SOC besteht darin, dass sich das ROC auf die umfassenderen geschäftlichen Probleme im Zusammenhang mit dem Value at Risk konzentriert, während das SOC sich damit befasst, was das Sicherheitsteam über diese IT-Probleme wissen muss.

CISOs nutzen das ROC, um Cyberrisiken für das Unternehmen konkret zu quantifizieren. Auf der Datenseite umfasst dies Bedrohungsinformationen, Zeitreihendaten, Netzwerkdiagramme, Geschäftsprioritäten und Online-Analysen, um Risikoeinblicke in einem bestimmten Kontext zu gewinnen, sowie die Verwendung von Messalgorithmen, die für die Analyse historischer Trends optimiert sind.

Durch die Fokussierung auf Risiken können CISOs ihren Erfolg messen und die Sicherheit ihrer Unternehmen gewährleisten. Dies unterstreicht, wie CISOs Annahmen über den Value-at-Risk und plausible zukünftige Verluste treffen und wie sie Entscheidungen über Risiken im Laufe der Zeit optimieren können.

Die Risikomessung umfasst die Betrachtung der Auswirkungen auf das Geschäft und potenzieller Bedrohungen. Diese Messung allein reicht jedoch nicht aus. Die Umsetzung der Messungen in operative Praktiken liefert Ihnen Anhaltspunkte dafür, wo Sie Ihre Bemühungen zur automatischen Risikominderung konzentrieren sollten. Genauso wie neue Prozesse auf der Grundlage von Messungen entwickelt werden, entwickeln sich auch Risikomaßnahmen auf der Grundlage der Effektivität, mit der Sie Daten nutzen, Ihre Position verstehen und Ihre Bemühungen auf die Bereiche mit der größten Wirkung ausrichten können.

Über den Autor:
Matt Middleton-Leal ist Managing Director EMEA North & South bei Qualys.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management